HTTP sur Transport Layer Security, également connu sous le nom de https, peut grandement améliorer la sécurité et la confidentialité d’un site Web. Lorsque vous voyez l’URL d’un site avec https://, ce site fait très attention à sa sécurité interne pour protéger les données des utilisateurs et contre les effractions.
Voici plusieurs approches que vous pouvez adopter pour améliorer la sécurité Web dans la façon dont vous naviguez, partagez des liens et configurez vos propres sites, à l’aide de https.
Installez HTTPS Everywhere dans Firefox et Chrome.HTTPS Everywhere de l’Electronic Frontier Foundation (en collaboration avec le projet Tor) redirige automatiquement d’un site non sécurisé vers un site sécurisé dans la mesure du possible. Le plug-in de navigateur est disponible pour Chrome, Firefox et Opera, geowebservice et Firefox pour Android. Safari (et Internet Explorer) ne sont pas pris en charge en raison de choix de conception dans l’architecture d’extension de ces navigateurs.
Utilisez https chaque fois que vous le pouvez. Si vous voyez un lien qui commence http:// au lieu de https://, laissez-le tomber. La plupart des sites tenus à jour prennent entièrement en charge connexions via https, même s’ils ne sont pas définis par défaut ou ne vous redirigent pas vers eux. Certains sites utilisent une technique que je vais décrire ci-dessous, qui indique à un navigateur, la première fois que vous visitez la version sécurisée d’un site, d’utiliser uniquement la version https à l’avenir, quel que soit le type de lien sur lequel vous cliquez pour visiter le site. .
Ne transmettez que les liens https. Vous pouvez aider les autres en transmettant les liens sécurisés disponibles, et en raison du mécanisme ci-dessus utilisé par de nombreux sites, l’envoi à quelqu’un d’un lien https les immunise quasiment pour que le site lié à l’avenir n’utilise que des connexions sécurisées.
Se plaindre aux sites qui manquent de https. Tous les webmasters ou petites organisations ne veulent pas savoir pourquoi ils devraient utiliser https, mais lorsque les visiteurs et les clients expliquent qu’ils sont préoccupés par la confidentialité en général, l’opérateur d’un site peut se rendre compte qu’il doit faire l’effort. (Alors que la grande majorité des sites des petites entreprises et des particuliers sont hébergés par de plus grandes entreprises, il y a encore probablement des millions de il y a longtemps par des consultants ou par quelqu’un utilisant un ensemble d’instructions fournies, et ils peuvent être incapables de mettre à niveau ou ne pas savoir comment. Soyez gentil avec eux, à moins qu’ils ne mettent en péril la sécurité de vos données personnelles, auquel cas ne soyez peut-être pas aussi gentil.)
La plupart des sites tenus à jour prennent entièrement en charge les connexions via https, même s’ils ne les utilisent pas par défaut ou ne vous redirigent pas vers eux.
Mettez à niveau vos sites hébergés. Si vous utilisez un service qui vous permet d’héberger un blog, un site Web, un magasin ou autre chose, et qu’il s’est écoulé plus de quelques années avant que vous n’ayez parcouru les options de configuration, vérifiez et voyez si le site a changé. à https, l’a ajouté comme quelque chose pour lequel vous pouvez cliquer sur une case, ou nécessite que vous effectuiez un peu de magie Internet pour l’ajouter. J’ai plusieurs sites hébergés chez Squarespace, et ce service en novembre dernier a ajouté une prise en charge complète des certificats Web sur tous les comptes de ses abonnés. Cependant, cela peut nécessiter une action de votre part avec les paramètres de domaine ou autre sous le capot se tortillant pour permettre.
Si vous êtes employé, assurez-vous que votre entreprise est sécurisée. Certaines entreprises peuvent le considérer comme une faible priorité, surtout si elles ne proposent pas de commerce électronique. Mais https n’ajoute plus de pénalité de performance aux sites, ce qui était vrai dans le passé, et les certificats TLS de base utilisés pour les connexions https peuvent être obtenus à peu de frais ou gratuitement. La mise à niveau de la sécurité dans votre entreprise protège la vie privée de tous ses clients.
Ajustez les paramètres de votre site si vous utilisez votre propre serveur. Je l’avoue : j’héberge moi-même un certain nombre de sites sur un serveur privé virtuel (VPS). Bien que connaissant l’importance de https, il y a quelques jours seulement, j’ai eu la peine de réviser des fichiers de configuration et des configurations assez anciens pour https sur mes sites qui ne l’avaient pas déjà fait. Et j’ai activé cette astuce – appelée HTTP Strict Transport Authority (HSTS) – qui, pour tous les navigateurs, les mises à jour publiées au cours des dernières années « verrouillent » automatiquement un utilisateur dans le site sécurisé après l’avoir visité une fois.
Certaines des raisons de l’adoption généralisée de https par de petits sites, comme le mien, est Let’s Encrypt, un projet lancé par l’EFF, et maintenant géré par l’Internet Security Research Group avec l’aide d’un certain nombre d’entreprises et de bailleurs de fonds à but non lucratif. Let’s Encrypt rend les certificats TLS Web (et e-mail et autres) disponibles gratuitement, tout en automatisant le renouvellement. Tous les quelques mois, je reçois un e-mail avant l’expiration des certificats et je peux saisir une seule commande Terminal pour mettre à jour tous mes certificats. Lorsque je suis sûr que cela fonctionne sans erreur, je peux même en faire une opération automatisée.
Un éboulement n’est pas que des rochers ; les petits cailloux s’additionnent. De même, nous pouvons également résoudre la « pollution » des connexions non sécurisées en faisant un léger effort de notre part vers un Web entièrement sécurisé.
Intérêts connexes